Het is een hete maand geweest voor privacy in Frankrijk. De Franse DPA (CNIL) heeft boetes opgelegd aan drie grote techbedrijven (Apple, TikTok en Microsoft). Alle beslissingen zijn interessant, en één komt met een grote boete.
- De ePrivacy-richtlijn
- Apple beboet met 8 miljoen euro voor illegale tracering
- TikTok kreeg een boete van 5 miljoen euro voor een cookie-rommel
- Microsoft beboet met 60 miljoen euro voor Bing-cookies
- Enkele overwegingen
- Final Thoughts
De ePrivacy-richtlijn
Alle zaken draaien om artikel 5 van de ePrivacy-richtlijn van de EU. We schrijven veel over GDPR in onze blogs, maar de ePrivacy-richtlijn is ook heel belangrijk als het gaat om privacy.
De GDPR staat bekend als de "cookiewet", maar de richtlijn is de echte cookiewet. Artikel 5 vereist toestemming voor het lezen en schrijven van alle informatie die op de eindapparatuur van de gebruiker is opgeslagen. De regel heeft betrekking op cookies, maar is ook van toepassing op andere technologieën zoals reclame-ID's (zoals in het geval van Apple).
De richtlijn bevat twee uitzonderingen. Voor noodzakelijke verwerkingsinformatie is geen toestemming vereist:
- Om communicatie mogelijk te maken (telefoonmaatschappijen moeten bijvoorbeeld telefoonnummers verwerken)
- Voor het verlenen van een dienst waar de gebruiker om heeft gevraagd. Deze uitzondering omvat zogenaamde essentiële cookies die door websites worden gebruikt, zoals cookies die UI-voorkeuren opslaan of items in een winkelwagentje bijhouden.
Cookies die nodig zijn voor marketing en webanalyse zijn geen essentiële cookies en kunnen alleen worden verwerkt na het verzamelen van toestemming. Daarom ziet u zoveel vervelende cookiebanners bij het surfen op internet.
In het algemeen is dit een strengere regeling dan de GDPR, omdat de GDPR de verwerking van persoonsgegevens op andere grondslagen dan toestemming toestaat, zoals gerechtvaardigd belang of de uitvoering van een overeenkomst (we schreven hier meer over rechtsgronden).
Een ander belangrijk verschil is dat de richtlijn niet rechtstreeks van toepassing is. De gegevensbeschermingsautoriteiten (DPA's) in elke lidstaat zien dus niet rechtstreeks toe op de naleving van de richtlijn, maar handhaven de nationale wetten ter uitvoering van de richtlijn (in het geval van de CNIL is dat de Franse gegevensbeschermingswet).
Apple beboet met 8 miljoen euro voor illegale tracering
De eerste zaak gaat over reclame-ID's. iOS 14.6 gebruikt reclame-ID's om de activiteiten van gebruikers te volgen en advertenties in de App Store te personaliseren. Het besturingssysteem vraagt de gebruiker niet om toestemming, maar biedt wel een opt-out mogelijkheid in de privacy instellingen. De CNIL achtte dit in strijd met de ePrivacy-richtlijn en legde Apple een boete van 8 miljoen euro op. Volgens Politico is Apple van plan de beslissing aan te vechten.
Deze uitspraak is niets nieuws. De GDPR vereist dat toestemming wordt gegeven door middel van een duidelijke bevestigende handeling, en het Hof van Justitie van de EU heeft al verduidelijkt dat opt-outsystemen nooit geldige toestemming kunnen verzamelen, dus de regels zijn zo duidelijk als maar kan. En toch gebruiken bedrijven nog steeds opt-outsystemen (zelfs multinationals met goed gefinancierde juridische afdelingen).
Er moeten nog twee dingen worden opgemerkt. Ten eerste had de zaak specifiek betrekking op iOS 14.6 en heeft de DPA geen onderzoek gedaan naar tracking in andere versies. Ten tweede heeft Apple zijn privacy-instellingen vanaf iOS 15 gewijzigd en een opt-in systeem ingevoerd voor de specifieke privacy-optie waar het in de zaak om ging. Dit betekent niet noodzakelijk dat Apple geen gebruikers meer volgt zonder hun toestemming - het bedrijf heeft in Californië een privacyrechtszaak lopen over ongeoorloofde tracking.
TikTok kreeg een boete van 5 miljoen euro voor een cookie-rommel
In het tweede geval onderzocht de CNIL de cookies op de website van TikTok. De bevindingen waren niet geweldig.
Ten eerste gebruikte de website drie cookies, ongeacht de keuze van de gebruiker om ze te accepteren of af te wijzen. Twee waren essentiële cookies onder de ePrivacy-richtlijn, maar één was een marketing cookie. Dat kan niet.
Ten tweede bood de cookiebanner de gebruiker de keuze om cookies in de eerste laag te aanvaarden of aan te passen, waardoor de gebruiker gedwongen werd de tweede laag te openen en extra klikken uit te voeren om cookies te weigeren. Dit is een schoolvoorbeeld van misleidend design - iets wat we reeds besproken hebben op onze blog. Bovendien gaf de banner onvoldoende informatie aan de gebruiker. Daarom oordeelde de CNIL dat de cookiebanner niet in overeenstemming was en dat de website cookies verwerkte zonder toestemming van de gebruiker.
Terzijde: TikTok kwam met een interessante verdediging: "Het weigeren van cookies is echt eenvoudig op onze website omdat de gebruiker de cookiebanner gewoon kan negeren en verder kan surfen." Dus alle cookies accepteren kost één klik, en ze weigeren nul - zo eenvoudig is het! Onnodig te zeggen dat de CNIL daar niet in trapte.
Microsoft beboet met 60 miljoen euro voor Bing-cookies
De derde zaak gaat over cookies op het Bing.com domein en kostte Microsoft een boete van 60 miljoen.
De autoriteit vond eerst dat de cookiebanner die op de website werd getoond niet in overeenstemming was met de GDPR en de eigen richtlijnen van de CNIL. Net als de banner van TikTok.com bevatte die van Bing geen afwijzingsoptie op de eerste laag en dwong de gebruiker om meer onnodige klikken te doorlopen om cookies af te wijzen.
De CNIL stelde ook vast dat Bing.com een cookie plaatste voor anti-reclamefraude, ongeacht de voorkeur van de gebruiker. Microsoft beschouwde deze cookie als essentieel, maar de CNIL oordeelde anders op basis van haar eigen richtsnoeren. De autoriteit stelde ook vast dat een advertentiecookie werd geplaatst zonder toestemming, wat volgens Microsoft het gevolg was van een menselijke fout.
Enkele overwegingen
De timing voor de uitspraken tegen TikTok en Microsoft kon niet beter. Een taskforce van de European Data Protection Board hield zich bezig met cookiebanners en publiceerde haar rapport kort nadat de CNIL haar besluiten publiceerde. Overigens is de noodzaak van een afwijzingsknop in de eerste laag van banners een van de hoofdpunten van het rapport.
Wij hebben dit onderwerp uitgebreid behandeld op onze blog omdat wij van mening zijn dat het rapport een goede indicator is van hoe gegevensbeschermingsautoriteiten cookiezaken voortaan zullen behandelen. Hopelijk zijn de boetes van de CNIL tegen TikTok en Microsoft voor hun misleidende banners een voorbeeld voor andere gegevensbeschermingsautoriteiten.
Bevoegdheid is een ander belangrijk aspect van alle drie de besluiten. De CNIL zegt op dit punt niets nieuws, maar de kwestie is toch de moeite van het onderzoeken waard.
Apple, TikTok en Microsoft hebben allemaal hun Europese dochterondernemingen in de Republiek Ierland, en alle drie beweerden ze dat de DPC (de Ierse gegevensbeschermingsautoriteit) bevoegd was om over hun zaak te beslissen op grond van de GDPR. Maar de zaken draaiden om ePrivacy-schendingen, en de ePrivacy-richtlijn volgt andere bevoegdheidsregels dan de GDPR. Daarom achtte de CNIL zich bevoegd om boetes op te leggen.
Bevoegdheid lijkt misschien een technische kwestie, maar is vanuit praktisch oogpunt van groot belang. Sommige gegevensbeschermingsautoriteiten zijn strenger dan andere, en de CNIL is veel strenger dan de DPC. Als de zaken in Ierland waren beslist, was de uitkomst misschien anders geweest en gunstiger voor de bedrijven.
Final Thoughts
Het is vroeg om te zeggen, maar misschien zien we eindelijk een harde aanpak van misleidende cookiebanners. Bij Simple Analytics zijn we nooit een fan geweest van het gebruik van cookies, laat staan van die vervelende en vaak misleidende cookiebanners. De reden hiervoor is dat website-eigenaren de inzichten kunnen krijgen die ze nodig hebben om hun websiteprestaties te verbeteren zonder cookies.
Wij zijn een cookieloos Google Analytics alternatief dat 100% GDPR-compliant is en geen cookiebanner nodig heeft. Benieuwd hoe dat eruit ziet? Probeer ons gerust eens uit!